Начались массовые атаки на уязвимость Citrix Bleed - «Новости» » Интернет технологии
sitename
Новые возможности автоматического определителя номера для бизнеса от Яндекса — «Блог для вебмастеров»
Новые возможности автоматического определителя номера для бизнеса от Яндекса — «Блог для вебмастеров»
 Смартфон realme 15 Pro с Snapdragon 7 Gen 4 и батареей на 7000 мА·ч поступил в глобальную продажу - «Новости сети»
Смартфон realme 15 Pro с Snapdragon 7 Gen 4 и батареей на 7000 мА·ч поступил в глобальную продажу - «Новости сети»
 «Китайцы показывают, как надо делать игры»: геймеров впечатлил трейлер фэнтезийного боевика Swords of Legends в духе Black Myth: Wukong - «Новости сети»
«Китайцы показывают, как надо делать игры»: геймеров впечатлил трейлер фэнтезийного боевика Swords of Legends в духе Black Myth: Wukong - «Новости сети»
 Последнее обновление Windows 11 24H2 ломает SSD и HDD, но не везде - «Новости сети»
Последнее обновление Windows 11 24H2 ломает SSD и HDD, но не везде - «Новости сети»
 GeForce RTX 5080 теперь доступна за $20 в месяц — облачный игровой сервис Nvidia GeForce Now обновил инфраструктуру - «Новости сети»
GeForce RTX 5080 теперь доступна за $20 в месяц — облачный игровой сервис Nvidia GeForce Now обновил инфраструктуру - «Новости сети»
 Magic Mouse похищает данные 650 000 банковских карт ежемесячно - «Новости»
Magic Mouse похищает данные 650 000 банковских карт ежемесячно - «Новости»
 Представители WhatsApp прокомментировали блокировку звонков в РФ - «Новости»
Представители WhatsApp прокомментировали блокировку звонков в РФ - «Новости»
 Microsoft исправила более 100 уязвимостей - «Новости»
Microsoft исправила более 100 уязвимостей - «Новости»
 «Попали в самую точку!»: музыкальная тема главного меню Heroes of Might & Magic: Olden Era покорила фанатов - «Новости сети»
«Попали в самую точку!»: музыкальная тема главного меню Heroes of Might & Magic: Olden Era покорила фанатов - «Новости сети»
 Scaly Wolf снова атакует российский машиностроительный сектор - «Новости»
Scaly Wolf снова атакует российский машиностроительный сектор - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Начались массовые атаки на уязвимость Citrix Bleed - «Новости»

✔Начались массовые атаки на уязвимость Citrix Bleed - «Новости»

07 ноября 2023 883 Новости / Добавления стилей / Преимущества стилей / Изображения / Заработок / Текст 0

Исследователи предупреждают, что злоумышленники уже используют уязвимость Citrix Bleed (CVE-2023-4966) для атак на правительственные, технические и юридические организации в Северной и Южной Америке, Европе, Африке и странах Азиатско-Тихоокеанского региона.


Напомним, что критическая уязвимость CVE-2023-4966 (9,6 балла по шкале CVSS), связанная с удаленным раскрытием информации и получившая название Citrix Bleed, была устранена еще 10 октября 2023 года, однако тогда Citrix не сообщила никаких подробностей об этой проблеме.


Как вскоре предупредили исследователи из компании Mandiant, оказалось, что с конца августа 2023 года этот баг использовался злоумышленниками в таргетированных атаках, то есть представлял собой уязвимость нулевого дня. Хакеры использовали баг для перехвата аутентифицированных сессий и обхода многофакторной защиты.


В конце октября эксперты AssetNote выпустили PoC-эксплоит для CVE-2023-4966.


Теперь атаки на Citrix Bleed носят массовый характер, однако известный ИБ-специалист Кевин Бомонт пишет, что это необязательно вызвано публикацией эксплоита AssetNote, ведь и до этого было ясно, что детали проблемы известны сразу нескольким хак-группам. В прошлые выходные Бомонт предупреждал, что злоумышленники похитили токены сеансов более чем с 20 000 серверов NetScaler.


Предупреждая, что примерно половина клиентов NetScaler, включая телекоммуникационные, энергетические, продовольственные и правительственные организации, до сих пор не установили патчи, на прошлой неделе компания Бомонта опубликовала специальный сканер, помогающий обнаруживать уязвимые серверы NetScaler.


Как теперь рассказывают в компании Mandiant, отсутствие ведения журналов на устройствах затрудняет исследование эксплуатации CVE-2023-3966, так как для регистрации трафика и определения факта эксплуатации требуются WAF и другие решения для мониторинга сетевого трафика. Если сеть не использует такой мониторинг до атаки, невозможно провести анализ за прошлые периоды, и исследователи ограничиваются наблюдениями за атаками в реальном времени.


Специалисты пишут, что даже в период пост-эксплуатации злоумышленники стараются оставаться незаметными, используя методы live off the land и обычные административные инструменты, такие как net.exe и netscan.exe, чтобы не выделяться на фоне рутинной активности.


Mandiant удалось выявить попытки эксплуатации и перехвата сеансов следующим образом:



  • анализ запросов WAF — запросы к уязвимой конечной точке могут регистрироваться средствами WAF;

  • мониторинг паттернов входа в систему — несовпадение IP-адресов клиента и источника, а также множественные сессии с одного и того же IP-адреса, записанные в файлах ns.log, являются признаками потенциального несанкционированного доступа;



Начались массовые атаки на уязвимость Citrix Bleed - «Новости»



  • сопоставление с реестром Windows — сопоставление данных реестра Windows в системах Citrix VDA с данными ns.log позволяет проследить происхождение злоумышленника;

  • проверка дампа памяти — дамп-файлы NSPPE могут быть проанализированы на предмет наличия необычно длинных строк, содержащих повторяющиеся символы, что может свидетельствовать о попытках эксплуатации.





Воспользовавшись CVE-2023-4966, злоумышленники занимаются разведкой, похищают учетные данные и занимаются боковым перемещением посредством RDP. На этом этапе хакеры используют следующие инструменты:


• net.exe — разведка Active Directory (AD);

• netscan.exe — создание перечня внутренних сетей;

• 7-zip — создание зашифрованного сегментированного архива для сжатия результатов разведки;

• certutil — кодирование (base64) и декодирование файлов данных и внедрение бэкдоров;

• e.exe и d.dll — загрузка в память процесса LSASS и создание файлов дампа памяти;

• sh3.exe — запуск команды Mimikatz LSADUMP для извлечения учетных данных;

• FREEFIRE — легкий .NET-бэкдор, использующий Slack для управления;

• Atera — удаленный мониторинг и управление;

• AnyDesk — удаленный рабочий стол;

• SplashTop — удаленный рабочий стол.


Хотя многие из перечисленных выше инструментов часто встречаются в корпоративных средах, их совместное развертывание может быть признаком компрометации, а такие инструменты, как FREEFIRE, являются явными признаками взлома. Исследователи опубликовали правило Yara, которое может быть использовано для обнаружения FREEFIRE на устройстве.


В настоящее время Mandiant отслеживает четыре группировки, эксплуатирующие CVE-2023-4966 в различных кампаниях, и они имеют некоторое совпадение на этапе пост-эксплуатации. Так, все группы активно применяли csvde.exe, certutil.exe, local.exe и nbtscan.exe, а в двух кластерах активности был замечен и Mimikatz.


Так как применение доступных патчей не устраняет уже существующие компрометации, эксперты подчеркивают, что здесь требуется полноценное реагирование на инцидент. Рекомендации по восстановлению систем после взлома можно найти в отдельном руководстве Mandiant.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Исследователи предупреждают, что злоумышленники уже используют уязвимость Citrix Bleed (CVE-2023-4966) для атак на правительственные, технические и юридические организации в Северной и Южной Америке, Европе, Африке и странах Азиатско-Тихоокеанского региона. Напомним, что критическая уязвимость CVE-2023-4966 (9,6 балла по шкале CVSS), связанная с удаленным раскрытием информации и получившая название Citrix Bleed, была устранена еще 10 октября 2023 года, однако тогда Citrix не сообщила никаких подробностей об этой проблеме. Как вскоре предупредили исследователи из компании Mandiant, оказалось, что с конца августа 2023 года этот баг использовался злоумышленниками в таргетированных атаках, то есть представлял собой уязвимость нулевого дня. Хакеры использовали баг для перехвата аутентифицированных сессий и обхода многофакторной защиты. В конце октября эксперты AssetNote выпустили PoC-эксплоит для CVE-2023-4966. Теперь атаки на Citrix Bleed носят массовый характер, однако известный ИБ-специалист Кевин Бомонт пишет, что это необязательно вызвано публикацией эксплоита AssetNote, ведь и до этого было ясно, что детали проблемы известны сразу нескольким хак-группам. В прошлые выходные Бомонт предупреждал, что злоумышленники похитили токены сеансов более чем с 20 000 серверов NetScaler. Предупреждая, что примерно половина клиентов NetScaler, включая телекоммуникационные, энергетические, продовольственные и правительственные организации, до сих пор не установили патчи, на прошлой неделе компания Бомонта опубликовала специальный сканер, помогающий обнаруживать уязвимые серверы NetScaler. Как теперь рассказывают в компании Mandiant, отсутствие ведения журналов на устройствах затрудняет исследование эксплуатации CVE-2023-3966, так как для регистрации трафика и определения факта эксплуатации требуются WAF и другие решения для мониторинга сетевого трафика. Если сеть не использует такой мониторинг до атаки, невозможно провести анализ за прошлые периоды, и исследователи ограничиваются наблюдениями за атаками в реальном времени. Специалисты пишут, что даже в период пост-эксплуатации злоумышленники стараются оставаться незаметными, используя методы live off the land и обычные административные инструменты, такие как net.exe и netscan.exe, чтобы не выделяться на фоне рутинной активности. Mandiant удалось выявить попытки эксплуатации и перехвата сеансов следующим образом: анализ запросов WAF — запросы к уязвимой конечной точке могут регистрироваться средствами WAF; мониторинг паттернов входа в систему — несовпадение IP-адресов клиента и источника, а также множественные сессии с одного и того же IP-адреса, записанные в файлах ns.log, являются признаками потенциального несанкционированного доступа; сопоставление с реестром Windows — сопоставление данных реестра Windows в системах Citrix VDA с данными ns.log позволяет проследить происхождение злоумышленника; проверка дампа памяти — дамп-файлы NSPPE могут быть проанализированы на предмет наличия необычно длинных строк, содержащих повторяющиеся символы, что может свидетельствовать о попытках эксплуатации. Воспользовавшись CVE-2023-4966, злоумышленники занимаются разведкой, похищают учетные данные и занимаются боковым перемещением посредством RDP. На этом этапе хакеры используют следующие инструменты: • net.exe — разведка Active Directory (AD); • netscan.exe — создание перечня внутренних сетей; • 7-zip — создание зашифрованного сегментированного архива для сжатия результатов разведки; • certutil — кодирование (base64) и декодирование файлов данных и внедрение бэкдоров; • e.exe и d.dll — загрузка в память процесса LSASS и создание файлов дампа памяти; • sh3.exe — запуск команды Mimikatz LSADUMP для извлечения учетных данных; • FREEFIRE — легкий .NET-бэкдор, использующий Slack для управления; • Atera — удаленный мониторинг и управление; • AnyDesk — удаленный рабочий стол; • SplashTop — удаленный рабочий стол. Хотя многие из перечисленных выше инструментов часто встречаются в корпоративных средах, их совместное развертывание может быть признаком компрометации, а такие инструменты, как FREEFIRE, являются явными признаками взлома. Исследователи опубликовали правило Yara, которое может быть использовано для обнаружения FREEFIRE на устройстве. В настоящее время Mandiant отслеживает четыре группировки, эксплуатирующие CVE-2023-4966 в различных кампаниях, и они имеют некоторое совпадение на этапе пост-эксплуатации. Так, все группы активно применяли csvde.exe, certutil.exe, local.exe и nbtscan.exe, а в двух кластерах активности был замечен и Mimikatz. Так как применение доступных патчей не устраняет уже существующие компрометации, эксперты подчеркивают, что здесь требуется полноценное реагирование на инцидент. Рекомендации по восстановлению систем после взлома можно найти в отдельном руководстве Mandiant.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: